La sécurité des données de santé

Il est fondamental que les données des patients soient conservées de manière sûre et sécurisée afin de protéger leur confidentialité. Il existe quatre principaux moyens de protéger la vie privée :

• Supprimer les informations permettant d'identifier la personne concernée et au besoin prendre des mesures supplémentaires pour désidentifier les informations restantes.
• Utiliser un processus d'évaluation et d'accès indépendant qui guarantit que l'objectif poursuivi par le projet est approprié.
• S'assurer que des contrats juridiques stricts sont en place avant d'autoriser le transfert et l'accès aux données.
• Mettre en place des mesures de sécurité informatique robustes.

La protection des données : un exercice d'équilibre

Les bénéfices de l'utilisation des données des patients sont-ils supérieurs aux risques ? Est-ce que cela pourrait-il mal se passer, et si oui qu'en serait alors l'impact ? Le partage des données des patients ne sera jamais complètement exempt de risques, mais il est possible de mettre en place des mesures appropriées de façon à ce qu'ils soient diminués au maximum. Les données sont désidentifiées dans la mesure du possible ; en outre, il existe des processus d'évaluation et d'audit qui vérifient l'identité des personnes accédant aux données, et des sanctions sévères peuvent être prises en cas d'utilisation abusive. 

Puis-je être identifié à partir des données ? 

Les données permettant d'identifier une personne ne peuvent être utilisées que si elle y a consenti ou si la loi l'exige, et ce uniquement sous certaines conditions. Ces données ne peuvent, par exemple, pas être utilisées par les assurances ou pour du marketing sans votre consentement. Certaines données seront utilisées pour produire des statistiques publiées mensuellement par les autorités sanitaires, par exemple sur le temps d'attente aux urgences ou sur la couverture vaccinale. Ces informations ne peuvent être publiées publiquement que si les données sont anonymes, de sorte qu'aucun individu ne puisse être identifié.

Le spectre de l'identifiabilité

En pratique, le specte d'identifiabilité des données est très large, et couvre un continuum qui va des données permettant facilement d'identifier la personne à des données qui ont subi un processus d'anonymisation. Le Règlement Général de la Protection des Données (RGPD) exige que de nombreux critères soient remplis avant qu'une donnée puisse être considérée comme anonyme. Il en résulte que de nombreuses données resteront catégorisées comme identifiantes, et donc "personnelles", lors de leur utilisation. Le caractère identifiant des données dépend à la fois des caractéristiques du jeu de données et de l'environnement dans lequel elles sont conservées et utilisées. Par exemple, une donnée qui n'est pas identifiante en tant que telle peut le devenir si elle est croisée avec une autre donnée. Certains de ces environnements comprennent des contrôles techniques pour limiter la liaison de données entre elles, ainsi que les personnes pouvant y accéder.

En savoir plus sur...

• Les données anonymisées
• Les données identifiantes
• Les mécanismes de contrôle

Un enjeu central de la réutilisation des données de santé au delà du soin direct est l'équilibre à trouver entre ses bénéfices et ses risques potentiels. Généralement, l'utilité et les bénéfices des données de santé sont maximums lorsque peu de restrictions sont imposées, mais cela augmente les risques potentiels d'atteinte à la vie privée et de la sécurité des données. 

Il existe deux types de données de santé, qui sont traités différemment du fait de leurs caractéristiques : les données identifiantes et les données anonymisées.

Données anonymisées

Lorsque les données sont rendues entièrement anonymes, elles ne sont plus considérées comme des données personnelles car elles ne permettent en théorie plus d'identifier les personnes. Elles ne sont donc plus concernées par le Règlement Général sur la Protection des Données, qui ne s'applique que pour les données identifiantes. Le processus d'anonymisation protège en lui-même les individus contre des atteintes potentielles.

Le processus d'anonymisation des données doit être compris comme un continuum : différentes techniques offrent différents niveaux de protection. 

Agrégation des données

L'agrégation des données fait référence à leur mise en commun, de sorte que les individus ne sont plus identifiables, comme dans l'exemple donné ci-dessous :

 

Données individuelles : A est entièrement vacciné contre le COVID-19, B est entièrement vacciné contre le COVID-19, etc.

...et les données agrégées : Au sein de cette population, 80% des individus sont entièrement vaccinés contre le COVID-19.

 

Échange de données

L'échange des données se produit lorsque certaines caractéristiques individuelles sont réorganisées de manière à ce qu'on ne puisse plus retrouver à quel individu elles sont liées tout en permettant aux chercheurs de continuer à effectuer des analyses sur l'ensemble des données. L'exemple ci-dessous illustre ce procédé :

 

Jeu de données d'origine : 

 

Le même jeu de données, mais réorganisé :  

 

Une analyse "small cell risk" 

Une analyse "small cell risk" est une méthode d'analyse statistique pour mesurer le risque de ré-identification lorsque seul un petit groupe d'individus est concerné, ce qui peut être le cas de personnes atteintes de maladies rares ou lorsque les informations croisées sont tellement nombreuses que leur combinaison ne peut correspondre qu'à un nombre restreint d'individus. 

Avantages et inconvénients des données anonymes

• D'un côté, pour les chercheurs, utiliser des données anonymes leur simplifie la tâche car peu ou aucune restriction ne leur est imposée pour les utiliser. Par exemple, il n'est pas nécessaire de demander le consentement des participants. En ce qui concerne les citoyens, l'anonymisation des données garantit qu'aucune atteinte directe et personelle ne peut résulter de l'utilisation des données les concernant, comme par exemple une atteinte à la vie privée, des discriminations ou une commercialisation non-consensuelle de leurs données. Néanmoins, plusieurs publications ont montré que le processus d'anonymisation peut avoir ses limites : parfois, il est quand même possible de ré-identifier les individus dans des jeux de données anonymisées. Cliquez ici pour avoir un exemple.

• De l'autre côté, les données anonymes ont moins d'utilité. Certaines questions de recherche ne peuvent être résolues sans information identifiante. Par exemple, il est plus difficile de comprendre les liens entre différentes caractéristiques. Si vous voulez savoir comment le COVID-19 affecte les personnes asthmatiques, tout en prenant compte de l'âge, et du type de métier exercé, vous devez avoir accès à toutes ces informations, qui permettent d'identifier directement ou indirectement des individus. De même, il est impossible pour les citoyens de bénéficier directement de la réutilisation des données de santé si ces dernières sont totalement anonymes car ils ne peuvent pas être recontactés. 

Données identifiantes

Les données identifiantes désignent tout type de données via lesquelles il est possible de remonter à l'identité de la personne concernée. Il s'agit à la fois :

• des données personnellement identifiantes (comme le nom, l'adresse, le numéro d'identité, le numéro de sécurité sociale, etc.)

• des données désidentifiées (aussi appelées données pseudonymisées), c'est-à-dire celles dont les informations permettant de retrouver la personne concernée ont été supprimées. Elles sont couramment réutilisées dans la recherche en santé. Il existe différentes techniques de désidentification qui offrent différents niveaux de protection. Les données peuvent être désidentifiées  en remplaçant certaines informations identifiantes par d'autres informations ou en utilisant des technique de cryptage, par exemple en remplaçant les noms par des chiffres. Une personne ou une organisation de confiance peut par ailleurs être chargée de réguler les communications entre deux acteurs disposant de données désidentifiées, afin de s'assurer qu'aucun des deux ne détienne suffisamment d'informations pour identifier les personnes concernées. Avec des données désidentifiées, ré-identifier un individu est toujours possible si les données sont combinées avec différentes sources, comme si l'on assemblait les différentes pièces d'un puzzle.

Toutes les données considérées comme identifiantes sont protégées par le RGPD. Entre autres, leur utilisation se limite à deux motifs : si la personne a consenti à l'utilisation de ses données, ou si elle concerne une "mission d'intérêt public". Pour en apprendre davantage sur vos droits consacrés par le RGPD, cliquez ici. 

Le consentement éclairé

Le consentement éclairé est généralement utilisé comme base légale pour collecter les données dans le contexte clinique ou de recherche. Demander le consentement permet d'assurer l'autonomie des individus, mais peut également constituer un obstacle, tant pour les chercheurs que pour les citoyens qui doivent consacrer du temps, des ressources et de l'énergie à confirmer leurs préférences à chaque fois. En outre, dans certaines circonstances, il peut être quasiment impossible d'exiger le consentement de certaines personnes alors que leurs données sont nécessaires à un projet. Par exemple, lorsque des données collectées il y a plusieurs années doivent être consultées. 

Une mission d'intérêt public 

Parmi les exemples de mission d'intérêt public, on peut citer la surveillance des maladies, l'archivage à des fins de recherche historique et scientifique, l'accomplissement d'une mission par une institution qui a été préalablement définie par la loi, etc. Les données identifiantes peuvent être réutilisées pour n'importe quelle mission d'intérêt public, à condition qu'une surveillance adéquate soit garantie (voir ci-dessous). 

Les avantages et inconvénients liés aux données identifiantes sont : 

• D'un côté, les données identifiantes sont d'une grande utilité. Elles peuvent être utilisées pour répondre à de nombreuses questions, notamment lorsqu'il est nécessaire de comparer certaines variables comme le tabagisme et l'efficacité d'un traitement contre le cancer du poumon. Ceci implique de savoir qui est fumeur et qui a reçu le traitement évalué. Lorsque l'utilisation de certaines données induit un risque pour la vie privée des individus ou d'autres inconvénients, on peut recourir à des techniques de désidentification afin de les diminuer.
• D'un l'autre côté, il est souvent difficile de trouver un juste milieu pour décider du niveau de protection approprié. Les techniques de désidentification peuvent prendre du temps et coûter cher. En ce qui concerne les citoyens, l'utilisation des données identifiantes peut premettre de créer des bénéfices personnels directs, mais le risque demeure toujours que les individus puissent être réidentifiés alors qu'ils ne le souhaitent pas.

Mécanismes de contrôle

Différents types d'organismes peuvent veiller à ce que l'utilisation des données de santé au delà du soin direct au patient soit conforme à la législation et respecte la vie privée des citoyens. 

• Autorités de protection des données : Les autorités de protection des données sont des instances gouvernementales au niveau national qui peuvent superviser les potentiels liens structurels entre de grandes bases de données, ou encore décider si un projet peut être qualifié de "mission d'intérêt public".

• Délégué à la protection des données (DPD) : Chaque institution ou entreprise qui traite des données personnelles sous le RGPD peut disposer d'un DPD, certaines y étant même obligées selon la loi. Sa tâche est de venir en aide aux responsables du traitement des données afin de s'assurer qu'ils adhèrent aux règles telles qu'elles sont décrites dans le RGPD.

• Comités éthique : Chaque nouveau projet de recherche initié dans les hôpitaux ou dans toute autre institution publique est soumis à un comité d'éthique multidisciplinaire. Celui-ci décide si le protocole de recherche est éthique et si les méthodes proposées sont proportionnelles aux objectifs de la recherche.

• Comités d'accès aux données : Certaines bases de données sont régies par des comités d'accès qui décident qui aura accès aux données et sous quelles conditions.

Apprenez en plus sur... 

• Démystifier l'identification (EN)
• L'infographie pour expliquer comment les données sont sécurisées (EN)
• “Protéger les données de santé des citoyens" (FR, France)
• Une introduction au RGPD et ce qu'il implique pour les données des patients (EN, Royaume-Uni)
• Codage, anonymisation et trusted third parties (NL et FR, Belgique)
• Autorité de protection des données (FR, EN et NL, Belgique)
• Trusted Third Party - Applied Cryptography (vidéo YouTube, EN)

 

Vous avez une idée sur les conditions d'utilisation des données de santé pour des finalités dépassant les soins individuels ? 

Donnez votre avis!

 

Vous pouvez aussi lire... 

• Qu'est-ce qu'une données de santé? 
• Réutiliser les données de santé: pourquoi, par qui? 
• Impliquer les citoyens
• Les espaces de données de santé